不倫SNSの個人情報流出は未然に防ぐことができたのか?

IT・IT製品TOP > Key Conductors > 寺下 理恵(バラクーダネットワークスジャパン株式会社) > 不倫SNSの個人情報流出は未然に防ぐことができたのか?
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

不倫SNSの個人情報流出は未然に防ぐことができたのか?

ネットワークセキュリティ 2015/08/11

「人生一度。不倫をしましょう。」とうたうトップページ

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

「人生一度。不倫をしましょう。」とうたうトップページ
出典:http://www.itmedia.co.jp/news/articles/1311/22/news115.html

 人生一度。不倫をしましょう。をキーフレーズにした既婚者向け出会いサイト「アシュレイ・マディソン」がハッキングされた事件は、運営拠点のあるカナダだけでなく日本国内でも世間を騒がせたニュースになっています。

 日本においても約180万人の会員がいるとも言われています。2014年には「昼顔」という言葉が新語・流行語大賞の候補語に選ばれたこともうけて、今回の事件はとてもショッキングなものでした。

 アシュレイ・マディソンのサイトをハッキングしたImpact Teamと呼ばれるハッカー集団は声明でサイト閉鎖を要求し、それが実現しない場合には登録会員3700万人の個人情報をネット上に晒すと脅迫しています。

 本記事執筆時点(2015年8月6日)では、ハッキングされた個人情報が具体的にリークされたという報告はありません。このような情報漏えい事件は、なぜ頻発に発生するのでしょうか。

 日本国内においても、企業・組織のWebサイトへのサイバー攻撃が後を絶たないのが現状です。IPAとJPCERT/CCは2015年7月、「Webサイトへのサイバー攻撃に備えた定期的な点検を」と題して、Webサイト運営者や管理者に対してWebサイトの定期的なセキュリティチェック実施するように呼びかけています。その中で代表的なWebサイトへの攻撃手法として、Webサイトが標的型攻撃の踏み台(C&Cサーバ)として悪用されるケースが紹介されています。

標的型攻撃に悪用されるウェブサイト改ざん

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

標的型攻撃に悪用されるウェブサイト改ざん
出典:https://www.ipa.go.jp/about/press/20150714.html

 IPAとJPCERT/CCが直近で確認した事例では、攻撃者があるWebサイトに不正に侵入し、標的型攻撃における命令を中継する不正プログラムを設置したことが原因と考えられています。

 では、そもそも攻撃者はどうやってWebサイトに不正に侵入し、不正プログラムを組み込むことができたのでしょうか。

 IPAの「Webサイト改ざんの脅威と対策」では、改ざんの手口を大きく4つに分類しています。
 
 A. 窃取したアカウント情報を悪用した不正ログイン
 B. ソフトウェアの脆弱性を突く
 C. ウェブアプリケーションの脆弱性を突く
 D. 組織内のアクセス制御の不備を突く

Webサイト改ざんの4つの手口

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

Webサイト改ざんの4つの手口
出典:http://www.ipa.go.jp/security/technicalwatch/20140829.html

 このうちBとCについてはWebサーバの脆弱性を狙った攻撃です。主な攻撃手法としては、Exploitコードを悪用してソフトウェアの脆弱性を突く、攻撃ツール等を利用して独自に開発されたWebアプリケーションの脆弱性を突くなどが挙げられます。

SQLインジェクションの脆弱性を悪用した情報窃取

SQLインジェクションの脆弱性を悪用した情報窃取

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 SQLインジェクションの脆弱性を悪用した情報窃取
出典:https://www.ipa.go.jp/about/press/20150714.html

 Webサイトへの攻撃として代表的な手法のもう1つは、SQLインジェクションの脆弱性を悪用した情報窃取です。攻撃者が悪意を持って細工されたSQL文を組み込むことにより、データベースへ不正にアクセスします。Webサイトから個人情報が流出したケースの多くで、原因はSQLインジェクションによる攻撃であると報告されている例も多く見受けられます。

Webサイトのセキュリティ対策としてWAFを導入する

 Webサイトに脆弱性が発見されても、速やかにパッチを適用できないケースだけでなく、改修できないWebアプリケーションに脆弱性が発見される場合、開発者にWebアプリケーションの改修を速やかに依頼できない状況など、脆弱性に対する根本的な対応をすぐに行うことが困難なケースがほとんどでしょう。

 IPAの「Webサイト改ざんの脅威と対策」では、ソフトウェアやWebアプリケーションの脆に対して修正パッチを提供できない場合などの予防策としてWAFの導入を挙げています。

 WAFはSQLインジェクションやクロスサイトスクリプティングなどに代表される、Webアプリケーションを狙った攻撃からWebサイトを保護するソリューションです。「Barracuda Web Application Firewall」では、アプライアンス・仮想アプライアンス・クラウドサービスの3つのプラットフォーム上で利用可能なWAFを提供し、ブラックリスト方式と呼ばれるシグネチャを採用することで、Webアプリケーションに対する既知の脆弱性だけでなく、最新の攻撃にもすぐに対応することができます。

Barracuda WAF 構成イメージ

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

Barracuda WAF 構成イメージ

 不倫SNSからの個人情報流出は、そのサービスや内容がショッキングなだけに、記憶にあたらしいWebサイトへの攻撃。この機会に自社のWebサイトのセキュリティ対策も見直してみてはいかがでしょうか。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008144


IT・IT製品TOP > Key Conductors > 寺下 理恵(バラクーダネットワークスジャパン株式会社) > 不倫SNSの個人情報流出は未然に防ぐことができたのか?

このページの先頭へ

キーマンズネットとは
2008年バラクーダネットワークスジャパン株式会社に入社。シニアプリセールスエンジニアとして、企業・自治体を中心にネットワークセキュリティ・アプリケーションデリバリ・データ保護ソリューションを提案。2013年よりプロダクトマーケティングマネージャーに着任し、ソーシャルメディアマーケティングを担当。

ページトップへ